squid и 2 external acl

[r0man_]

Настроен squid с авторизацией в домене. Для ограничения пользователей используется своя приблуда, поключенная как external_acl, которая проверяет по БД лимит и выдает ОК или ERR. Все работает, но нужно как-то ограничить посещение запрещенных сайтов и выделить привелегированных пользователей, которые могут ходить везде. Выделил их в группу inet_full AD, но немогу увязать вместе с лимитами по трафику
Вот конфиг:

Код: Выделить всё

# авторизация
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#проверяем по БД лимит трафика (на выходе OK/ERR)
external_acl_type stat_db ttl=300 %LOGIN /usr/local/bin/squid/AUTH/auth
#делим юзеров по группам
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
#авторизованные
acl domain_users proxy_auth REQUIRED
#не исчерпавшие лимит
acl stat_db external stat_db
#ВИПы
acl inet_full external nt_group inet_full
#запрещенные домены
acl deny_domains dstdomain "/usr/local/etc/squid/ban/deny_domains"
#вот тут появились проблемы, если сделать как сейчас, у ВИПов безлимит получается - это нехорошо
http_access allow inet_full
http_access deny deny_domains
http_access allow stat_db
http_access deny all

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Kos]

http://squid.opennet.ru/FAQ/my/FAQrus-10.html

[hranitel_y2k]

Не уверен,но,вроде, должно быть так:

Код: Выделить всё

http_access allow inet_full stat_db
http_access allow stat_db
http_access deny stat_db deny_domains
http_access deny all

[Kos]

Не уверен,но,вроде, должно быть так:

Код: Выделить всё

http_access allow inet_full stat_db
http_access allow stat_db
http_access deny stat_db deny_domains
http_access deny all

скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all

[hranitel_y2k]

скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all

Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".

[*]r0man_ [*] Все получилось? Работает?

[skeletor]

скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all

Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".

[*]r0man_ [*] Все получилось? Работает?

Как раз ошибаетесь, именно так и работает.
Вот интересно, если у тебя ACL'ы будут так идти,

Код: Выделить всё

http_access allow all
http_access deny all

что будет?
Будут ли все ходить в инет или у всех будет блочится?
А если написать так

Код: Выделить всё

http_access deny all
http_access allow all

? Попробуйте и ощутите разницу.

[r0man_]

скорее уж:

Код: Выделить всё

http_access allow inet_full stat_db
http_access deny stat_db deny_domains
http_access allow stat_db
http_access deny all

Именно так и работает. Спасибо всем, кто откликнулся.

[hranitel_y2k]

2 skeletor, Kos
сорри, я оказался не прав.

[Alex Keda]

Без разницы, сквид не файрвал. Порядок правил в нем не имеет значения,поскольку он не проверяет "до первого совпадения".

тогда единственное парвило конфига - последнее - зарубило бы всё.
в конце обычно ставят дени алл ))